Qu'est-ce qu'une attaque par force brute?

Une attaque par force brute est une tentative visant à craquer un mot de passe ou un nom d'utilisateur, ou encore à trouver une page Web cachée ou la clé utilisée pour chiffrer un message, via un processus d'essais et d'erreurs pour, au bout du compte, espérer deviner juste. C'est une vieille méthode d'attaque, mais elle reste efficace et répandue parmi les pirates.

En fonction de la longueur et de la complexité du mot de passe, le craquage peut prendre entre quelques secondes et plusieurs années. En réalité, que certains pirates ciblent les mêmes systèmes chaque jour pendant des mois et parfois même des années.

L'attaque par force brute aidée par les outils

Deviner le mot de passe d'un utilisateur particulier ou d'un site peut prendre beaucoup de temps. Par conséquent, les pirates ont mis au point des outils pour faire le travail plus rapidement.

Les dictionnaires sont les outils les plus basiques. Certains pirates parcourent des dictionnaires en intégralité et complètent les mots avec des caractères spéciaux et des chiffres, ou utilisent des dictionnaires de mots spécifiques. Toutefois, ce type d'attaque séquentielle est fastidieux.

Lors d'une attaque classique, le pirate choisit une cible et saisit les mots de passe possibles par rapport à ce nom d'utilisateur. Il s'agit d'une attaque par dictionnaire.

Comme son nom l'indique, une attaque par force brute inversée inverse la stratégie d'attaque en commençant par un mot de passe connu (comme les mots de passe divulgués disponibles en ligne) et recherche des millions de noms d'utilisateur jusqu'à ce qu'une correspondance soit trouvée.

Des outils automatisés sont également disponibles pour vous aider à lutter contre les attaques par force brute (Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng et Rainbow, par exemple). Beaucoup de pirates sont en mesure de trouver un mot de passe par dictionnaire en une seconde.

Ce type d'outils agit contre de nombreux protocoles informatiques (FTP, MySQL, SMPT et Telnet par exemple) et permet à des pirates de craquer des modems sans fil, d'identifier des mots de passe faibles, de déchiffrer les mots de passe en stockage chiffré, de traduire des mots en leet speack (« don'thackme » [nemepiratepas] devient « d0n7H4cKm3 », par exemple), d'exécuter toutes les combinaisons de caractères possibles et d'opérer des attaques par dictionnaire.

Certains outils scannent les rainbow tables précalculées pour les entrées et les sorties des fonctions de hachage connues (la méthode de chiffrement basée sur l'algorithme utilisé pour traduire des mots de passe en séries de lettres et de chiffres étendues à longueur fixe).

Le processeur graphique accélère l'attaque par force brute

Associer l'unité centrale et le GPU (processeur graphique) accélère la puissance informatique en ajoutant les milliers de cœurs dans le processeur graphique pour le traitement afin de permettre au système de gérer plusieurs tâches simultanément. Le processeur graphique est utilisé pour l'analyse, l'ingénierie et d'autres applications de traitement intensif. Il peut craquer les mots de passe environ 250 fois plus vite qu'une unité centrale à elle seule.

Pour mettre les choses en perspective, le nombre de combinaisons possibles pour un mot de passe à six caractères comprenant des chiffres est d'environ 2 milliards. Le craquer à l'aide d'une unité centrale puissante qui essaie 30 mots de passe par seconde dure plus de deux ans. Ajouter une seule carte graphique puissante permet au même ordinateur de tester 7 100 mots de passe par seconde et de deviner le mot de passe en 3,5 jours.

Mesures de protection des mots de passe pour les informaticiens

Pour qu'il soit plus compliqué de mener à bien des attaques par force brute, les administrateurs système doivent s'assurer que les mots de passe de leur système sont chiffrés en utilisant les taux de chiffrement les plus élevés possible, comme le chiffrement à 256 bits. Plus le nombre de bits contenus dans le schéma de chiffrement est important, plus il est difficile de craquer le mot de passe.

Les administrateurs doivent également saler le hachage, c'est-à-dire randomiser des hachages de mot de passe en ajoutant une chaîne aléatoire de lettres et de chiffres (appelée salage) pour le mot de passe lui-même. Cette chaîne doit être stockée dans une base de données distincte, puis être extraite et ajoutée au mot de passe avant qu'il ne soit haché. Ainsi, les utilisateurs qui disposent du même mot de passe ont des hachages différents. En outre, les administrateurs peuvent exiger une authentification en deux étapes et installer un système de détection des intrusions qui détecte les attaques par force brute.

Limiter le nombre de tentatives permet également de réduire la probabilité de subir des attaques par force brute. Par exemple, autoriser trois tentatives pour saisir le bon mot de passe avant de verrouiller l'utilisateur pendant plusieurs minutes peut entraîner des retards importants et contraindre les pirates à se tourner vers des cibles plus faciles.

Comment les utilisateurs peuvent renforcer les mots de passe

Le cas échéant, les utilisateurs doivent choisir des mots de passe à 10 caractères contenant des symboles ou des chiffres. Ainsi, le nombre de possibilités s'élève à 171,3 trillions (1,71 x 10²⁰). En utilisant un processeur graphique qui essaie 10,3 milliards de hachages par seconde, craquer le mot de passe prendrait normalement environ 526 ans, même si un superordinateur pourrait le craquer en quelques semaines.

Toutefois, certains sites n'acceptent pas des mots de passe aussi longs, ce qui signifie que les utilisateurs doivent choisir des phrases de chiffrement complexes plutôt que des mots isolés. Il est essentiel d'éviter les mots de passe les plus communs et de les changer fréquemment.

Installer un automatise la gestion des mots de passe, ce qui permet aux utilisateurs d'accéder à tous leurs comptes en se connectant d'abord au gestionnaire de mots de passe. Ils peuvent ensuite créer des mots de passe très longs et complexes pour tous les sites qu'ils visitent, les stocker en sécurité et se souvenir uniquement du mot de passe du gestionnaire de mots de passe.

Pour tester la force d'un mot de passe, les utilisateurs peuvent se rendre sur la page https://password.kaspersky.com/fr/.

Articles connexes :

• Qu'est-ce qu'un adware?
• Qu'est-ce qu'un cheval de Troie?
• Faits et FAQ sur les virus informatiques et les programmes malveillants
• Courriers indésirables et phishing

Produits associés :

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android